martes, 27 de diciembre de 2022

Tratamiento de datos biométricos desde un enfoque de privacidad

La recopilación y el uso de datos biométricos están sujetos al Reglamento General de Protección de Datos (RGPD) de la Unión Europea y a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). El RGPD y la LOPDGDD proporcionan un marco legal para el tratamiento de información de carácter personal, incluidos los datos biométricos, que establecen los límites y obligaciones de los responsables de datos y los encargados del tratamiento de los mismos.

En el caso de los datos biométricos, estos deben estar protegidos adecuadamente y se deben cumplir los principios de proporcionalidad y necesidad. Esto significa que el responsable de datos debe asegurarse de que los datos biométricos que se recopilen sean los mínimos necesarios para el propósito para el que se recopilan, y que se almacenen y procesen de acuerdo con el propósito específico para el que se recopilaron.

Además, los datos biométricos deben ser tratados de manera segura, y el responsable del tratamiento debe tomar las medidas necesarias para protegerlos de cualquier acceso y/o tratamiento no autorizado. Esto incluye el uso de cifrado, la implementación de medidas de seguridad físicas, como cerraduras y sistemas de vigilancia, y la auditoría de los sistemas de seguridad para garantizar que se cumplan los estándares de seguridad.

miércoles, 14 de diciembre de 2022

Crónica del evento: No cON Name 2022

Otro año más hemos tenido la oportunidad de asistir a la última edición del congreso No cON Name el congreso público de seguridad más longevo de España (nacido en 1999, en Palma de Mallorca), en una edición especial de nuevo en formato presencial después de 2 años de espera. Durante el discurso de apertura, la organización dio las gracias a los más de 150 asistentes, así como a todos los ponentes por su participación consolidando la apuesta internacional del congreso. También puso en valor el papel i el esfuerzo de todos los voluntarios por hacerlo posible, así como a la Biblioteca Jaume Fuster por acogerles i permitirles hacer uso de su espacio.

A continuación, podéis encontrar un resumen de las presentaciones que se llevaron a cabo durante dos jornadas:

lunes, 12 de diciembre de 2022

Crónica del evento: XVI Jornadas STIC

Las Jornadas STIC del CCN-CERT llegaron en su decimosexta edición en un momento de especial trascendencia para la ciberseguridad en nuestro país. Son una gran oportunidad para las sinergias y las colaboraciones.

El conocimiento que se puede adquirir en estos eventos es invaluable, proporcionando valor al trabajo en equipo y la creatividad, lo cual es muy relevante para nuestra actividad.

lunes, 5 de diciembre de 2022

Métodos de validación en PCI DSS v4.0

Tras más de más de 3 años de trabajo, el 31 de Marzo de 2022, el PCI SSC lanzó la versión 4.0 del estándar PCI DSS. Esta versión, ha sido la más transgresora de toda la historia de este estándar de seguridad de datos de tarjeta, debido a que cambia por completo el enfoque y la forma a la que, tradicionalmente, se estaba acostumbrado a trabajar con él, pudiendo adoptar una estrategia de cumplimiento basada totalmente en el riesgo de cada organización, en lugar de cumplir con requisitos concretos, rígidos y exigidos por el PCI SSC.

PCI DSS 4.0 supone un cambio significativo en sí mismo. Aunque se mantiene la esencia del estándar anterior, las tecnologías emergentes y la experiencia adquirida durante estos años han dado paso a la siguiente versión, que trata de adaptarse a los tiempos en los que nos encontramos.

viernes, 2 de diciembre de 2022

Protección de las comunicaciones PCI DSS externas con certificados SSL

Los certificados SSL (Secure Sockets Layer), también denominados certificados digitales o certificados de clave pública, son documentos digitales firmados por una Autoridad Certificadora (CA por sus siglas en inglés) utilizados para establecer una comunicación segura entre el navegador o computadora de un usuario, y un servidor o sitio web, garantizando la seguridad mediante cifrado robusto de los datos que son transportados como pueden ser datos de tarjeta o credenciales de inicio de sesión. La firma por parte de la CA implica que estos certificados estén verificados utilizando una cadena de confianza, asegurando su fiabilidad.

Los certificados SSL se basan en el protocolo TLS (SSL quedó obsoleto) y son los encargados de que los sitios web cambien de HTTP a HTTPS proporcionando:

viernes, 18 de noviembre de 2022

Crónica del evento: Liga de Retos en el Ciberespacio (National CyberLeague GC 2022)



Del 15 al 17 de noviembre se celebró en Madrid una nueva edición del National CyberLeague. Este año es el cuarto año consecutivo en el que Internet Security Auditors participa colaborando en la organización con el rol de mentores de los equipos participantes, donde uno de los equipos, mentorizados por nuestro Responsable de Ciberinteligencia Carlos Seisdedos, ha llegado a la final quedando en un meritorio quinto puesto.

lunes, 14 de noviembre de 2022

Novedades en la actualización del Estándar ISO/IEC 27001:2022

En febrero de este 2022 fue publicada la actualización del Anexo A del Estándar de Seguridad de la Información ISO/IEC 27001:2013, conocida como ISO/IEC 27002:2022.

La publicación de la actualización de la norma ISO/IEC 27001:2022 se realizó el pasado 25 de octubre, con la finalidad de mantenerla alineada con los cambios introducidos por la norma ISO/IEC 27002:2022 y mejorar la comprensión y aplicación de la seguridad de la información en el contexto de la gestión de riesgos empresariales.

Con la actualización de la norma ISO/IEC 27001:2022 se mantiene la compatibilidad con la norma de calidad ISO 9001:2015 y la norma ISO 14001:2015, lo que significa que las empresas que ya implementan estas normas pueden integrar fácilmente la norma ISO 27001:2022 en sus sistemas de gestión.

viernes, 11 de noviembre de 2022

Crónica del evento: Red contra el Cibercrimen de Sudamérica

El pasado miércoles 9 de noviembre tuvo lugar el evento online Red contra el Cibercrimen de Sudamérica organizado por Interpol.

Interpol, Organización International de Policía Criminal es una organización intergubernamental que cuenta con 194 países miembros, y que ayuda a la policía de estos países a colaborar entre sí facilitando el intercambio y acceso a información sobre delitos y delincuentes y también ofreciendo apoyo técnico y operativo de diversa índole.

lunes, 7 de noviembre de 2022

Carlos Seisdedos miembro nacional del grupo de trabajo: Defensa de la Democracia en el Entorno de la Información - Fundamentos y Roles para la Defensa de la OTAN




El Ministerio de Defensa ha nombrado a Carlos Seisdedos, Responsable de Ciberinteligencia, como miembro nacional del grupo de trabajo: Defensa de la Democracia en el Entorno de la Información - Fundamentos y Roles para la Defensa perteneciente a la Organización de Ciencia y Tecnología de la OTAN.

La OTAN es una alianza de países de Europa y Norteamérica. Constituye un enlace único entre estos dos continentes, lo que les permite consultar y cooperar en el campo de la defensa y la seguridad y realizar juntos operaciones multinacionales de gestión de crisis.

Carlos representará a Internet Security Auditors en el panel de investigación dando apoyo a la Alianza Atlántica con el objetivo de defender la democracia en el entorno de la información.



¡Enhorabuena Carlos por este gran logro!

viernes, 21 de octubre de 2022

LFI, una vulnerabilidad que no se puede subestimar

La inclusión de archivos locales (LFI en inglés) es una vulnerabilidad web que permite a un ciberatacante engañar a una aplicación web para que ejecute y/o exponga archivos a través de un servidor web.

Los atacantes tratan de aprovechar ciertas vulnerabilidades en el código fuente para acceder a datos confidenciales o ejecutar scripts maliciosos en el servidor de destino.

El LFI ocurre cuando una aplicación permite incluir un archivo como entrada del usuario y no lo valida correctamente. Por tanto, el atacante puede ver los archivos del sistema porque no se verifica si la entrada recibida del usuario coincide con la variable en el sistema.

martes, 4 de octubre de 2022

Windows Privesc - Unquoted Service Path – La verdadera Isla de las Tentaciones

Vamos a hacer el símil con el programa, La Isla de las Tentaciones, de la cadena Telecinco.

Los participantes

En un ordenador en el que acabamos de comprometer, hemos descubierto un sistema en el que tenemos acceso con un contexto de usuario o servicio no privilegiado.

Primero de todo como buen curioso y cotilla buscaremos, entre el montón de archivos que tiene la gran mayoría de los usuarios en el escritorio del ordenador alguno que se llame contraseñas.txt. Dado que todos los días no es Reyes y que no siempre se encuentran ficheros interesantes, disponemos a apagar la tele y empezar a enumerar el sistema con la finalidad de escalar los privilegios.

Hay diversas herramientas que enumeran automáticamente distintas formas de escalar privilegios en un sistema Windows. Una de las escaladas más comunes es Unquoted Service Path.

jueves, 29 de septiembre de 2022

Internet Security Auditors mentores, un año más, del National CyberLeague GC 2022





Este año se celebra la IV edición de la Liga de Retos en el Ciberespacio (National CyberLeague GC 2022) organizada por la Guardia Civil. La NCL es una iniciativa de Seguridad Interior para poner en valor el talento juvenil de los estudiantes desde una visión pluridisciplinar de la ciberseguridad.

La forma elegida para alcanzar los objetivos establecidos es la puesta en marcha de una competición para jóvenes universitarios y de formación profesional, donde los participantes tienen la oportunidad de potenciar su talento, de una forma eminentemente práctica, que les permitirá acercarse al enfoque real de la ciberseguridad que se persigue tanto en el sector público, como en la empresa privada.

Auditar código fuente y no morir en el intento

¿Te han asignado una auditoría de código y no sabes por dónde empezar? Estás en el lugar correcto. Pero antes, ¿Sabes qué es una auditoria de código y en qué consiste?

Siguiendo la definición de la Guía de revisión de código de OWASP, "la revisión del código es una forma de ayudar a garantizar que la aplicación se ha desarrollado de manera que se "autodefienda" en su entorno determinado". Es decir, debemos realizar las comprobaciones pertinentes para verificar que están presentes los controles lógicos y de seguridad adecuados, que funcionan como se pretende y que se han invocado en los lugares correctos.

martes, 20 de septiembre de 2022

Internet Security Auditors estará en la XVI Edición de ENISE el Encuentro Internacional de Seguridad de la Información más importante del sector

Un año más se celebrará en el Palacio de Exposiciones de León, los días 19 y 20 de octubre una nueva edición del ENISE (Encuentro Internacional de Seguridad de la Información) una cita ineludible en el sector de la ciberseguridad nacional e internacional, que se ha convertido año tras año en un punto de encuentro clave para la industria de un sector en constante crecimiento.

Este año, en Internet Security Auditors tenemos la gran oportunidad de participar como sponsors y, además, nos podrás encontrar en nuestro stand en la zona expositiva, junto a otros expertos en materia de ciberseguridad.

Para más información del evento:
https://www.incibe.es/enise

lunes, 5 de septiembre de 2022

¡Bienvenido sea el IIN (BIN) de 8 dígitos! ¿Qué implicaciones conlleva, y cómo afecta al cumplimiento con PCI DSS 3.2.1 y 4.0?

NOTA: la fecha de edición de este artículo fue el pasado 05 de abril de 2022. Durante este tiempo, podría haber cambios nuevos no introducidos en el presente artículo.

Introducción

Este artículo trata sobre la ampliación del valor del IIN, y las implicaciones que esto conlleva para el cumplimiento con el estándar PCI DSS en sus versiones v3.2.1 y v4.0. A lo largo de estos últimos meses, las marcas de pago han ido modulando su posicionamiento original. Además, el PCI SSC ha publicado la nueva versión de PCI DSS, la 4.0, y también ha actualizado el contenido de varias FAQ utilizadas como referencia.  Por todo ello, ha sido necesario crear un nuevo artículo que se adapte a la realidad actual.

Antes de entrar en el tema de fondo, es necesario hacer una pequeña introducción con el fin de explicar las partes que conforman el Primary Account Number (PAN), o Número de Cuenta Primario.

viernes, 19 de agosto de 2022

ISecAuditors seleccionada de nuevo para el GEAR 2022-24 del PCI SSC

El GEAR (Global Executive Assessor Roundtable) se creó el año 2018, fecha desde la cual hemos formado parte de este grupo internacional de asesores, para obtener recomendaciones y aportaciones de los altos directivos de las empresas de asesoría de seguridad de pago acreditadas por el PCI SSC. Esta iniciativa ha permitido a los altos ejecutivos de las empresas asesoras en Normas PCI de todo el mundo proporcionar asesoramiento, retroalimentación y orientación al PCI SSC sobre las cuestiones y preocupaciones relacionadas con las evaluaciones y los programas de evaluación, representando las perspectivas de las regiones y clientes dónde y con los que trabajan.
 
Internet Security Auditors es una de las 14 empresas que forman parte del GEAR desde su creación, renovando su participación en sus 3 convocatorias. El año 2018 el GEAR se creó con 20 empresas, el 2020 se amplió a 28 miembros y este año se ha reducido en un miembro. Esta renovada participación demuestra el posicionamiento y relevancia en el entorno de Normas PCI de la compañía, gracias a lo cual el PCI SSC lleva contando con nosotros más de 4 años para participar es este grupo de expertos, donde aportamos nuestra experiencia de más de 15 años en las diferentes Normas PCI.
 
Más información en el microsite de GEAR del PCI SSC:
https://www.pcisecuritystandards.org/get_involved/global_executive_assessor_roundtable

lunes, 23 de mayo de 2022

Este junio estaremos en la RSA Conference 2022 en San Francisco (USA)



El próximo 6 de junio se celebrará en San Francisco (USA) una nueva edición de la RSA Conference, el foro mundial más importante de la industria de la ciberseguridad, un lugar para debatir las preocupaciones actuales y futuras y tener acceso a los expertos, y a ideas que ayuden tanto a individuos como empresas a avanzar en temas de ciberseguridad construyendo equipos más fuertes e inteligentes.

lunes, 16 de mayo de 2022

Vicente Aguilera miembro del jurado en los Trofeos de la Seguridad TIC de la revista Red Seguridad

Un año más la revista Red Seguridad celebrará este 30 de junio en Madrid una nueva edición de sus Trofeos de la Seguridad TIC. Estos prestigiosos galardones se entregarán en el marco del XIV Encuentro de la Seguridad Integral.

Primera empresa iberoamericana QSA con homologación para realizar proyectos en el continente asiático

Como empresa especialista en el estándar PCI DSS, y gracias a nuestra experiencia como QSA, hemos empezado a trabajar, a través de nuestros aliados en USA, con clientes que tienen presencia en India y Filipinas, ampliando así nuestra experiencia hacia nuevos sectores y países.

miércoles, 11 de mayo de 2022

Novedades de la actualización del Esquema Nacional de Seguridad de 2022

Fuente: CCN-CERT

El Boletín Oficial del Estado (BOE) publicó el pasado 4 de Mayo el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Este RD actualiza el ENS derogando el anterior de 2010, vigente hasta la fecha. Entró en vigor al día siguiente de su publicación en el BOE el pasado 5 de Mayo, estableciendo un período de transición de 24 meses para la plena adecuación de los sistemas de información preexistentes, y siendo de aplicación desde su concepción para los nuevos sistemas de información.


A continuación, podéis encontrar un resumen de sus principales novedades:

  • Perfiles de cumplimiento específicos. Estos nuevos perfiles serán validados y publicados por el Centro Criptológico Nacional (CCN) organismo adscrito al Centro Nacional de Inteligencia (CNI). Permitirán a determinadas entidades o sectores de actividad concretos, respecto a la declaración de aplicabilidad inicial para una categoría determinada y el preceptivo análisis de riesgos, implementar un conjunto de medidas de seguridad que podrá diferir de las que le corresponderían en un inicio del Anexo II.
  • Acreditación de entidades de implementación de configuraciones seguras. De forma análoga a los perfiles, el CCN también validará y publicará los nuevos esquemas de acreditación de entidades y validación de personas, que garantizarán la seguridad de las soluciones o plataformas de terceros y su conformidad respecto al ENS.
  • Protocolo de actuación ante ciberincidentes. El CCN pasa a articular la respuesta a los incidentes de seguridad en torno al CCN-CERT. Las entidades del sector público deberán notificar al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de sus sistemas de información, de acuerdo con la correspondiente Instrucción Técnica de Seguridad Resolución de 13 de abril de 2018. Y las organizaciones del sector privado que presten servicios a entidades públicas deberán notificar al INCIBE-CERT los incidentes que les afecten, el cual a su vez lo pondrá en conocimiento del CCN-CERT.
  • Sistema de codificación de los requisitos de las medidas de seguridad. El nuevo sistema codifica los requisitos de las medidas y los organiza diferenciando entre los requisitos base preexistentes, y los posibles refuerzos de seguridad (R) que se suman (+) a los respectivos requisitos base. Dichos refuerzos no siempre son incrementales, de forma que en ciertos casos se podrá elegir entre aplicar un refuerzo u otro distinto.
  • Anexo II Medidas de Seguridad. El Anexo sufre algunos cambios relevantes como la incorporación de los nuevos controles [op.ext.3] Protección de la cadena de suministro y [op.ext.4] Interconexión de sistemas, el nuevo grupo de control [op.nub] Servicios en la nube y control [op.nub.1] Protección de servicios en la nube, así como los nuevos controles [op.mon.3] Vigilancia y [mp.eq.4] Otros dispositivos conectados a la red. También se realizan cambios menores como la centralización de todos los controles relativos a Medios alternativos en [op.cont.4]. A su vez entre los controles que se mantienen, aumentan considerablemente su nivel de exigencia [op.acc.1] Identificación, [op.exp.2] Gestión de seguridad, [op.exp.3] Gestión de la configuración de seguridad, [op.exp.6] Protección frente a código dañino, [op.exp.8] Registro de la actividad, [op.pl.4] Dimensionamiento/gestión de la capacidad, [op.mon.1] Detección de intrusión, [op.mon.2] Sistema de métricas y [mp.sw.2] Aceptación y puesta en servicio.

Referencias


Autor: Carlos Antonio Sans - ISO 27001 L.A., ISO 22301 L.A., CISA, CRISC, CISSP, ENAC-AEPD DPD
Dpto. Consultoría

martes, 26 de abril de 2022

Como gestionar una vulnerabilidad crítica en un entorno de PCI DSS: Ejemplo log4j

El objetivo de este artículo es describir un time-line de gestión de una vulnerabilidad crítica alineado con los requisitos de PCI DSS 3.2.1. Es importante comentar que no hay una única manera de gestionar vulnerabilidades alineadas con PCI DSS, pero sí que todas ellas deben contener al menos los puntos de control identificados en este artículo.

El siguiente esquema nos muestra, a alto nivel, los procedimientos de gestión que intervienen en la gestión de una vulnerabilidad crítica, alineado con los requisitos de PCI DSS.

viernes, 8 de abril de 2022

Crónica III Foro Regional ISMS Forum Barcelona

Fuente: ISMS Forum

Este año hemos tenido la oportunidad de poder asistir a la tercera edición del Foro Regional ISMS Forum Barcelona, organizado por ISMS Forum el pasado 17 de Marzo en la Casa Convalescència de la Universitat Autonònoma de Barcelona (UAB). En el Track 1: Cyber Security Strategy Toni Garcia, Board Member ISMS Forum Barcelona, dio inicio a la jornada dando la bienvenida a los más de 300 participantes en la primera edición presencial del foro desde el comienzo de la pandemia, y celebrando el 15 aniversario de ISMS Forum este enero de 2022.

A continuación, podéis encontrar un resumen de las principales ponencias que se llevaron a cabo en los Track 1 y 2 del evento.

miércoles, 6 de abril de 2022

Cambios en OWASP Top 10 2021

OWASP publicó el pasado 24 de septiembre de 2021 un nuevo listado de vulnerabilidades para el Top 10 de aplicaciones web. En él ha introducido varios cambios a la hora de clasificar los principales riesgos y en qué orden van en la lista, con el objetivo de que las vulnerabilidades que llevan 3 ediciones del top 10 en la misma posición, se clasifiquen de otra manera.

martes, 5 de abril de 2022

Nuestras últimas apariciones en medios

En estas últimas semanas nuestro responsable de ciberinteligencia Carlos Seisdedos ha estado muy ocupado. Varios medios han querido contar con él como experto.

Os dejamos un resumen de sus apariciones/participaciones:
📌1/04 – 120 minutos de programa de telemadrid:
https://bit.ly/3Kh2zZA

📌1/04 – ETB2 (EITB) (Portal de la radio-televisión pública vasca):
https://bit.ly/3jaoyp5

📌5/04 – Todo es Verdad programa de TV de Risto Mejide:
https://bit.ly/3LJH0Rx

📌Próximamente... -> Entrevista para HackerCar: Ciberseguridad vinculada a la automoción y la movilidad.
https://bit.ly/37lHcaF


Desde aquí queremos aprovechar para agradecer la confianza depositada en nuestro equipo para colaborar con medios tan destacados y felicitar a Carlos por sus logros!


jueves, 31 de marzo de 2022

Novedades de PCI DSS en la Versión 4.0

El PCI SSC ha venido trabajando desde finales del 2019 en una actualización del estándar PCI DSS que nos trae una serie de actualizaciones y novedades que desde hace algún tiempo han venido pidiendo tanto los QSA como los comercios y proveedores de servicio con el ánimo de hacer más claros algunos requerimientos, generar nuevos lineamientos en temas que eran áreas grises y la actualización o evolución de algunos requisitos mínimos a la realidad actual. Todos estos cambios buscan atender los cambios en la evolución de los riesgos a los que están expuestos los datos de las tarjetas de pago en el mercado actual.

lunes, 21 de marzo de 2022

Análisis de Riesgos Extendido para SSF

Con la evolución de las diferentes normativas y estándares dentro de la industria de la ciberseguridad, cada vez se va extendiendo de una forma más clara la importancia de implementar unas metodologías de análisis de riesgos que sirvan como base para la protección de los denominados activos críticos.

Siguiendo esta tendencia, el PCI SSC ha querido incorporar estas metodologías dentro de la "actualización" del estándar PA-DSS, el cual ha sido remplazado completamente por el estándar PCI SSS dentro del marco PCI SSF (podéis encontrar más información en este artículo de comparativa y en este otro artículo de análisis de la transición entre ambos estándares).

Para tratar de explicar todos los conceptos y detalles que intervienen en estos mecanismos de protección del software basados en los “análisis de riesgos extendido para PCI SSF” seguiremos varias implementaciones ya instauradas en la industria, como pueda ser las metodologías STRIDE o DREAD, siempre enfocadas al cumplimiento de los requerimientos descritos en el requisito 4 del estándar PCI SSS.

jueves, 17 de marzo de 2022

Novedades en la actualización del Estándar ISO/IEC 27002:2022

El ciclo de vida establecido para la familia de estándares ISO está definido para que cada uno de los estándares sean revisados cada cinco años con el objetivo de alinearlos a la realidad en que están inmersas las empresas que los usan como marco de referencia para asegurar su información. Sin embargo, este ciclo no estuvo sincronizado en el caso de los estándares ISO/IEC 27001 e ISO/IEC 27002 que en el 2013 fueron publicadas en la misma fecha, generando algunos problemas en la concordancia entre estos estándares, veamos:

  • La ISO/IEC 27001:2013 fue publicada el 25 de septiembre de 2013, fue revisada y confirmada el 3 de junio de 2019, dejando como válida la versión del 2013.
  • La ISO/IEC 27002:2013 fue publicada el 25 de septiembre de 2013, sin embargo, su revisión fue publicada el 15 de febrero de 2022, casi dos años y medio después de la revisión de la ISO/IEC 27001.

De ahora en adelante simplificaremos la mención a los estándares ISO/IEC sólo por el número de dicho estándar con el objetivo de facilitar su lectura a lo largo de este artículo.

jueves, 3 de marzo de 2022

Mapfre amplia la certificación PCI DSS de su Centro de Procesos de Datos de Alcalá de Henares

Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de pago queda afectada por el cumplimiento de los requerimientos que establece la Norma PCI DSS.

En Internet Security Auditors, como empresa acreditada por el PCI SSC a través de su certificado QSA nos enorgullece poder entregar la Certificación PCI DSS (Payment Card Industry Data Security Standard) a una gran empresa como Mapfre.

miércoles, 23 de febrero de 2022

Participamos en la II Edición de las Jornadas STIC Capítulo Colombia

Nos complace anunciar nuestra participación en la segunda edición de las Jornadas STIC Capítulo Colombia. Este año la organización ha querido contar nuevamente con la participación de nuestro responsable de ciberinteligencia Carlos Seisdedos, que dará su ponencia Ciberinteligencia para CSIRTs el 17 de marzo.

Por segundo año consecutivo, las Jornadas STIC Capítulo Colombia reunirán a referentes y expositores de las tendencias de ciberseguridad a nivel internacional en una jornada de tres días con el objetivo de impulsar y visibilizar las actividades y mecanismos de cooperación de los organismos y empresas de Latinoamérica y España y así fortalecer la ciberseguridad en el ámbito internacional.

Queremos extender nuestro agradecimiento a la organización (CCN-CERT, OEA, CSIRT Americas Network), por contar con nosotros para participar en este multitudinario e importante evento.

Más información e inscripciones:
https://www.ccn-cert.cni.es/iijornada-colombia.html

viernes, 11 de febrero de 2022

Jugando con Bettercap (Man in the Middle)

¿Qué es un ataque Man in the Middle?

Ocurre cuando un atacante puede interceptar o manipular tráfico entre dos partes conocidas como víctima y receptor.

La víctima es aquella persona que envía un mensaje a otro individuo esperando una respuesta, mientras que el receptor es la parte que recibe la información para luego analizarla y responder a la solicitud enviada.

El atacante aparte de interceptar todos los datos que son enviados entre las dos partes podría llegar a manipular los datos para obtener información confidencial, modificar transferencias bancarias e incluso suplantar la identidad ya sea de la víctima o el receptor.

A continuación, te muestro un ejemplo gráfico en donde el usuario 1 se intenta comunicar con el usuario 2 y un atacante ubicado en el medio podrá interceptar toda la comunicación, tanto de uno como del otro.

miércoles, 2 de febrero de 2022

Dispositivos IoT al alcance de todos, incluso de los malos

Bueno como ya bien sabéis, vivimos en un mundo donde cada vez estamos más conectados con los dispositivos físicos y sistemas electrónicos. En muchos de nuestros hogares seguro que contamos con muchos dispositivos “inteligentes” y “conectados” que prometen aumentar la comodidad y mejorar el ahorro de la energía.

Explicando un poco que es el famoso IoT o el Internet de las cosas con sus siglas “Internet of things” lo podríamos definir como la interconexión digital de los dispositivos u objetos con internet.

martes, 1 de febrero de 2022

Internet Security Auditors patrocinadores, un año más de CIBERSEG 2022


Los próximos días 3 y 4 de febrero se celebra una nueva edición de las Jornadas de Seguridad y Ciberdefensa (CIBERSEG22) y desde Internet Security Auditors queremos contribuir en este gran evento como patrocinadores.

Este año, debido a la situación sanitaria por la COVID-19, Las Jornadas se celebrarán en formato online.

El objetivo de estas jornadas es la promoción y la difusión de temas relacionados con la seguridad y la ciberdefensa en el ámbito universitario. Para ello, se han programado un conjunto de charlas relacionados con temas de interés en este ámbito, que se impartirán el día 3 de febrero.

Y el día 4 de febrero estará dedicado a la realización de Talleres, que también será online y tendrán un aforo limitado.

Más información e inscripciones en el siguiente enlace:
https://ciberseg.uah.es/